车规级干货 | ISO26262中对硬件安全性的定性和定量评估(上)

描述

       ISO26262 《道路车辆功能安全》国际标准是针对总重不超过3.5吨八座乘用车,以安全相关电子电气系统的特点所制定的功能安全标准。

       ISO26262-5对如何评估硬件安全性是否符合相应的ASIL等级(B级及以上)的方法进行了详细规定。

      在对硬件整体架构安全性进行评估时,需要对硬件整个拓扑结构展开,分析各个元器件或子元器件层级(对MCU而言,为网表,布线)中的:

      a.故障模式

      b.故障模式对违背安全目标的影响

      c.故障模式的故障率和分布(故障率的比例)

      d.故障模式的安全机制(即对故障的诊断和减轻的手段)

      e.安全机制的对故障的覆盖能力

      其中对于基础数据的获得,比如元器件的失效模式和失效率,安全机制的覆盖能力等,可采用业界公认数据(如来源于IEC和MIL的关于元器件可靠性数据),现场数据,实际运行历史数据,行业专家评估等,当然数据要尽可能地保守,以确保安全目标。

获得上述信息后开展对整体硬件架构的安全性评估,评估其是否达到预定的ASIL等级。

      标准的两个度量方法

      标准中提供了两个度量方法:硬件架构度量和硬件随机失效概率度量,两者在对硬件安全评估时均需要进行详细评估。本文针对硬件架构度量进行详细叙述,下一篇文章针对硬件随机失效概率度量进行详述。

      在进行评估前需要了解ISO26262中对硬件故障的分类,按照故障的成因以及故障的测试性,将故障分为:

      a.单点故障:单个硬件的故障会造成相关项违背安全目标,同时该故障没有相应的安全机制进行诊断和控制;

      b.残余故障:单个硬件的故障会造成相关项违背安全目标,有安全机制的诊断,但无法完全覆盖而未被检测的部分;

      c.多点故障:多个硬件故障联合时,才能导致违背安全目标;

      d.可探测的多点故障:可被安全机制探测到的多点故障;

      e.可感知的多点故障:可被驾驶员感受到的多点故障。

      f.安全故障:故障不会造成安全目标的违背,或者由2个以上硬件单元共同组成的故障,即2阶以上故障。

      对于多点故障,ISO26262中一般只考虑2阶故障,更高阶数的故障因其发生了极低,除非极特殊情况下(如安全概念现实他们会造成安全目标的违背,否则在评估时一般不进行分析。

     基于硬件架构度量(Hardware Architecture Metric)的有效性测量

     用于评估硬件架构对解决违背安全目标故障的有效性,描述为硬件对非安全故障的监控或控制的覆盖率。具体的评估方式如下:

     在明确安全目标定义下,比如当传感器采样温度高于85℃时,100ms内,安全阀门打开(进入安全状态),进行硬件架构的分析:

  (1)确定硬件失效是否会违背安全目标,不违背就被定义为安全故障(安全分析时不予考虑);

  (2)硬件失效的总失效率或各种失效模式的分布(参考数据手册),如硬件有几种失效模式,以及分别在整个硬件生命周期中的比例;

  (3)确定硬件失效是否有相应的安全机制进行监控或控制(消除或减轻影响),是否有安全机制,决定故障分类和相应的统计方法;

  (4)确定安全机制对故障诊断的覆盖率,一般分高99%,中90%,低60%三挡,具体的覆盖率根据安全机制所针对的对象不同而存在差异,可以查阅标准中的规定,也可以基于其他工程数据,明确相应的覆盖率;

  (5)计算出单点故障(无安全机制的非安全故障)失效率,残余故障失效率(未被安全机制监测到的故障),潜伏故障失效率(多点一般指2阶故障)失效率;

 (6)计算单点故障度量和潜伏故障度量,其中:单点故障度量(%)=1-(单点故障失效率+残余故障失效率)/总失效率

潜伏故障度量(%)=1-潜伏故障失效率/总失效率

 (7)对照各ASIL等级对故障度量的要求,判定硬件架构是否达到了相应的等级,如下表所示为标准推荐值,当然也可以采用其他的目标值,取决于最终的集成方对ASIL等级的具体要求。

硬件架构度量(%)目标值

GU

   当发现硬件架构度量不符合相应的ASIL等级要求时,设计中需要增加安全机制提升故障诊断水平。

   欢迎各位关注广电计量半导体服务号,后续将针对硬件随机失效概率度量进行详述。

 

打开APP阅读更多精彩内容
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉

全部0条评论

快来发表一下你的评论吧 !

×
20
完善资料,
赚取积分